'윈도우'에 해당되는 글 75건
- 윈도우 사용 인증으로 위장한 랜섬웨어 (8) | 2011/09/19
- 2011년 상반기 10대 보안 위협 트렌드 (3) | 2011/07/12
- ws2help.dll을 교체하는 온라인 게임 악성코드 분석 (11) | 2011/07/08
- 다수의 SNS를 전파 경로로 악용하는 메신저 악성코드 (5) | 2011/07/07
- MS10-087 취약점 악용 워드 악성코드 발견 (1) | 2011/07/06
- 신용 카드 한도 초과 안내 메일로 위장한 악성코드 유포 (4) | 2011/06/29
- CVE-2011-1255 취약점 악용 악성코드 유포 (2) | 2011/06/27
- 어도비 플래쉬 플레이어 CVE-2011-2110 취약점 분석 (3) | 2011/06/22
- 어도비 플래쉬, 아크로뱃과 리더 보안 패치 배포 (1) | 2011/06/15
- SNS로 전파되는 맥 OS X 대상의 허위 백신 | 2011/06/02
윈도우 사용 인증으로 위장한 랜섬웨어 :: 2011/09/19 14:37
동유럽과 러시아 등지에서 제작되는 것으로 알려진 랜섬웨어(Ransomware)는 주로 문서나 사용하는 컴퓨터 시스템의 정상적인 사용을 방해하고, 그에 댓가로 금전을 요구하는 형태로 알려져 있다.
이러한 랜섬웨어는 악성코드 제작자에 의해 직접 제작되는 경우도 있으나 최근에는 다른 일반적인 악성코드와 동일하게 랜섬웨어 생성기에 의해 제작되는 사례도 증가하고 있다.
그리고 국지적인 한계를 벗어나 감염된 시스템의 윈도우에서 사용하는 언어를 확인하여 그에 맞는 언어로 표기하는 형태도 있어, 한국어 윈도우에서는 한국어로 표기하는 랜섬웨어도 발견된 사례가 있다.
9월초에 발견된 랜섬웨어의 경우에는 특이하게 아래 이미지와 같이 윈도우 로고를 사용하여 윈도우 사용 라이센스에 문제가 있다는 문구를 독일어로 표기되어 있다.
해당 랜섬웨어에 감염이 되면 사용하는 윈도우 시스템은 자동으로 재부팅을 하게 되고 윈도우 로그인 이후부터 위 이미지와 같은 화면을 보여주며 시스템 사용 자체를 방해하고 있다.
해당 독일어 문구는 100 유로(한화 약 153,000원)을 지불하지 않으면 시스템을 계속 사용하지 못한다는 경고 문구를 보여주고 있다.
이 번에 발견된 윈도우 인증으로 위장하여 금전적 대가를 요구하는 랜섬웨어는 V3 제품군에서 다음과 같이 진단한다.
Trojan/Win32.FakeAV
이러한 랜섬웨어와 같은 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다
Trackback Address :: http://blog.ahnlab.com/asec/trackback/594
-
chanel handbags
Tracked from chanel handbags | 2013/04/11 19:59 | DELyou are truly a just right webmaster. The web site loading velocity is incredible. It seems that you are doing any unique trick. Furthermore, The contents are masterwork. you’ve done a magnificent activity in this subject!
-
vimaxsystemreview.com
Tracked from vimaxsystemreview.com | 2013/04/27 19:59 | DELASEC Threat Research -
2011년 상반기 10대 보안 위협 트렌드 :: 2011/07/12 14:20
- 기업 대상 악의적 해킹, 온라인 뱅킹 직접 겨냥..대담한 범죄화 추세
- 모바일 악성코드 급증, 맥 OS 악성코드 본격화
- SNS 및 검색 엔진 이용한 지능적 유포 급증
글로벌 종합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 12일 ‘2011년 상반기 10대 보안 위협 트렌드’를 발표했다. 이에 따르면 올해 상반기 주요 이슈는 ▶기업 대상 악의적 해킹 시도 증가 ▶더욱 대담해진 온라인 뱅킹 해킹 ▶모바일 악성코드 기승 ▶SNS로 유포되는 악성코드 급증 ▶진짜 백신으로 위장한 가짜 백신 등장 ▶윈도우 시스템 파일을 패치하는 악성코드 증가 ▶악성코드 첨부 메일 증가 ▶웹 애플리케이션 취약점 악용한 악성코드 증가 ▶맥 OS 겨냥한 악성코드 본격화 ▶온라인 게임 해킹 툴 기법 지능화 등이다.
[1] 기업 대상 악의적 해킹 시도 증가
올해 상반기에는 기업 대상 해킹 시도가 증가했다. 글로벌 에너지 업체의 기밀 정보를 탈취하려는 나이트드래곤[Night Dragon] 위협, EMC/RSA에서 발생한 OTP[One Time Password] 관련 기밀 탈취 위협, 해킹 그룹 룰즈섹[LulzSec]이 소니[Sony]의 고객 정보를 대량 유출한 사고가 대표적이다. 국내에서도 대형 금융기관 대상의 악의적 해킹이 밝혀졌다. 이러한 해킹 시도는 그 피해의 여파가 과거에 비해 더 크며, 금전 탈취는 물론 자신들의 주장을 관철하려는 핵티비즘[Hacktivism] 성격으로까지 다양해지고 있는 것이 특징이다.
[2] 더욱 대담해진 온라인 뱅킹 해킹
온라인 뱅킹 중에 전송되는 금융 정보를 탈취하는 악성코드는 올해도 지속적으로 국내외에서 발견되고 있다. 국내에서는 온라인 뱅킹을 지원하는 국내 대부분의 은행 사이트를 대상으로 한 악성코드 뱅커[Banker]가 발견됐으며, 해외에서는 2010년에 심각한 금융 보안 사고를 유발한 악성코드 제우스[Zeus]의 변형을 제작할 수 있는 소스코드가 유출되기도 했다. 온라인 게임 아이템을 탈취한 후 이를 현금화하던 방식이 아닌, 단계를 거치지 않고 한 번에 금전을 탈취하는 대담한 범죄가 본격화한 것이다. 사용자는 더욱 세밀한 보안 설정과 관리를 해야 한다. 온라인 뱅킹 암호를 주기적으로 변경하고 공인인증서 관리에도 특별한 주의를 기울여야 한다.
[3] 모바일 악성코드 기승
올해 상반기 안드로이드[Android]용 악성코드가 크게 증가했다. 사용자 모르게 루트[Root] 권한을 획득하는 루팅[Rooting]을 수행하는 Zft, 사용자의 통화 목록과 문자 내역 그리고 웹사이트 방문 기록 등을 탈취하는 키드로거[KidLogger], 안드로이드 스마트폰을 원격에서 제어할 수 있는 드로이드쿵후[DroidKungFu]가 대표적이다. 이 밖에 탈옥[JailBreak]된 아이폰과 아이패드에 설치되어 키보드 입력값을 가로채는 상용 키로거[Keylogger]도 발견됐다. 모바일 악성코드는 감염 기법과 동작 방식이 점차 PC용 악성코드와 유사해져 향후 더 심각한 보안 위협이 될 것으로 예측된다.
[4] SNS로 유포되는 악성코드 급증
올해부터 본격적으로 SNS[소셜 네트워크 서비스]가 악성코드 유포 경로로 악용되기 시작했다. 많은 사람의 주목을 끌어야 하는 만큼 당연히 사회적 이슈를 이용한 사회공학기법[Social Engineering]이 사용됐다. 일본 대지진 관련 기사나, 빈 라덴 사망 관련 동영상으로 위장한 가짜 백신들이 유포됐다. SNS는 그 특성상 사회공학기법을 악용한 악성코드와 피싱[Phishing] 등에 쉽게 노출된다. 그러므로 SNS로 전달되는 이슈가 보안 위협일 수도 있다는 보안 인식이 필요하다.
[5] 진짜 백신으로 위장한 가짜 백신 등장
가짜 백신이 이제는 버젓이 진짜 백신으로 위장하는 사례까지 등장했다. 해외 백신인 AVG, 비트디펜더[BitDefender]와 동일한 UI[사용자 인터페이스]와 아이콘을 그대로 도용한 가짜 백신이 발견됐다. 이는 사용자로 하여금 허위 진단 결과를 신뢰하게 하여 금전 획득의 가능성을 높이려는 의도이다. 또한 더 많은 PC를 감염시키기 위해 유포 방식도 지능화했다. 검색 엔진에서 검색한 이미지 파일을 클릭하면 가짜 백신 유포 웹사이트로 연결되게 한 것이다. 이는 일종의 ‘블랙햇 검색엔진최적화’[BlackHat Search Engine Optimization] 기법인데, 검색 결과를 조작해 가짜 백신 유포 사이트로 연결하는 종전 방식에서 변형된 형태이다.
[6] 윈도우 시스템 파일을 패치하는 악성코드 증가
2011년 상반기에 유포된 악성코드 중 윈도우 운영체제에 존재하는 정상 시스템 파일을 악의적 목적으로 패치[Patch]하거나 변경하는 악성코드가 급증했다. 윈도우 시스템 파일[imm32.dll, ksuser.dll, midimap.dll, comres.dll 등]을 패치하여 다른 악성코드를 감염시키거나 특정 온라인 게임의 사용자 정보를 탈취하는 악성코드가 다수 발견됐다. 일부 악성코드는 윈도우 시스템 파일뿐 아니라 백신이 사용하는 파일을 삭제 또는 변조하거나 윈도우 서비스를 강제 종료하는 등 보안 제품의 작동을 방해하기도 한다. 이런 유형은 악성코드를 삭제할 경우 시스템 자체를 손상시키므로, 백신의 진단/치료를 어렵게 하려는 목적으로 제작되었다고 볼 수 있다.
[7] 악성코드 첨부 메일 증가
악성코드를 첨부한 메일의 유포가 올해 2분기를 기점으로 다시 증가했다. 페이스북에서 발송하는 메일로 위장한 사례, UPS나 페덱스[FedEx]와 같은 택배 운송 업체의 메일로 위장한 사례가 대표적이다. 인터넷 쇼핑몰 주문 확인, 신용카드 한도 초과 안내 메일로 위장한 사례도 발견됐다. 이런 악성코드 대부분이 해외에서 제작된 가짜 백신을 설치하려는 목적으로 유포됐으며, 사용자가 많은 온라인 서비스로 위장한 점이 특징이다.
[8] 웹 애플리케이션 취약점 악용한 악성코드 증가
올해 상반기 악성코드에 악용된 취약점 대부분이 웹 애플리케이션과 관련되어 있다. 이로 인해 단기간에 많은 PC가 악성코드에 감염됐다. 특히 2분기에는 보안 패치가 제공되기 전에 발견된 제로 데이[Zero Day] 취약점 모두가 어도비 플래쉬 플레이어에서 발견됐다. 취약점을 악용하는 악성코드는 주로 온라인 게임 사용자의 정보를 탈취하거나 윈도우 시스템 파일을 패치한다. 그러므로 MS뿐 아니라 어도비가 제공하는 보안 패치도 빠짐없이 설치해야 악성코드 감염을 예방할 수 있다.
[9] 맥 OS 겨냥한 악성코드 본격화
현재 대부분의 악성코드는 윈도우 운영체제에 감염된다. 그러나 아이폰과 아이패드 사용자가 늘어남에 따라 맥[Mac]용 악성코드도 동반해서 증가하는 추세이다. 맥 OS에 가짜 백신을 설치하는 맥디펜더[MacDefender] 종류가 대표적이다. 이 악성코드들은 트위터로 유포됐으며, 시스템 전체를 검사하는 것처럼 위장하고 허위 감염 결과를 보여준다. 사용자는 애플사가 제공하는 보안 패치를 설치하고 악성코드 감염을 주의할 필요가 있다.
[10] 온라인 게임 해킹 툴 기법 지능화
비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 온라인 게임 해킹 툴은 보안 솔루션을 회피하기 위해 새로운 방식이 많이 적용되는 추세이다. 메모리 조작은 코드 조작에서 데이터 메모리 조작으로, 오토플레이는 키보드/마우스 관련 함수를 이용하는 방식에서 게임의 특정 기능을 수행하는 함수를 직접 호출해 오토플레이를 구현하는 방식으로 변화했다. 한편, 온라인 게임 해킹 툴은 작년 상반기에 1068개가 발견된 데 비해 올해 상반기에는 총 4050개로 약 300% 늘어났다. 해킹 유형 별로는 메모리 조작이 2575개로 비중이 가장 높고 오토플레이는 1274개로 집계됐다.
안철수연구소 시큐리티대응센터 이호웅 센터장은 "악성코드나 해킹이 점차 심각한 범죄로 확대되는 추세이다. SNS, 검색, 온라인 뱅킹, 온라인 게임 등 편리한 인터넷 환경 어디든 보안 위협이 지뢰처럼 묻혀 있다. 따라서 자신의 정보와 재산을 스스로 지킨다는 보안 의식이 중요하다. 또한 기업은 CEO가 앞장서 신뢰할 수 있는 비즈니스 환경을 만드는 것이 필수이다.”라고 강조했다.
0-day,
Android,
AVG,
Banker,
BitDefender,
Blackhat,
comres.dll,
DroidKungFu,
EMC/RSA,
Engine,
Fedex,
Hacktivism,
jailbreak,
KidLogger,
ksuser.dll,
LulzSec,
Mac,
MacDefender,
midimap.dll,
Night Dragon,
Optimization,
OTP,
PATCH,
Search,
SNS,
Social Engineering,
Sony,
UPS,
Zero-Day,
Zeus,
Zft,
검색,
게임,
금융,
기관,
기밀,
기업,
김홍선,
나이트드래곤,
네트워크,
대지진,
대형,
데이터,
드로이드쿵후,
루트,
룰즈섹,
맥OS,
맥디펜더,
메모리,
메일,
모바일,
백신,
뱅커,
뱅킹,
범죄,
범죄화,
보안,
비트디펜더,
빈라덴,
사용자,
사회공학기법,
상반기,
서버,
서비스,
소니,
소셜,
소스코드,
솔루션,
쇼핑몰,
시슽메,
시큐리티대응센터,
신용카드,
아이패드,
아이폰,
악성코드,
안드로이드,
안랩,
안철수,
애플리케이션,
어도비,
엔진,
연구소,
오토플레이,
온라인,
웹,
위협,
윈도우,
일본,
정보,
제로데이,
제우스,
취약점,
키드로거,
키로거,
키보드,
탈옥,
탈취,
툴,
트렌드,
트위터,
파일,
패치,
페덱스,
플래쉬,
플레이,
플레이어,
피싱,
해킹,
핵티비즘
Trackback Address :: http://blog.ahnlab.com/asec/trackback/567
-
Instant Payday Loans
Tracked from Instant Payday Loans | 2013/05/10 16:35 | DELASEC Threat Research -
ws2help.dll을 교체하는 온라인 게임 악성코드 분석 :: 2011/07/08 19:23
2011년 들어 윈도우(Windows) 시스템에 존재하는 정상 시스템 파일을 패치(Patch)하거나 변경하는 악성코드들이 지속적으로 증가하고 있으며, 최근에는 윈도우 시스템에 존재하는 정상 파일들 중 하나인 ws2help.dll 파일을 악성코드로 변경시키는 악성코드도 발견되었다.특히 해당 악성코드는 제작 과정에서의 오류로 인해 감염된 시스템에서 블루스크린(BlueScreen, BSOD)을 발생시키는 치명적인 문제점도 발견되었다.ASEC에서는 이번에 발견된 ws2help.dll 파일을 변경시키는 악성코드에 대한 상세한 분석을 진행하였고, 분석 과정에서 해당 악성코드의 어떠한 부분으로 인해 블루스크린이 발생하는지도 파악하였다.해당 악성코드는 윈도우 시스템에 존재하는 ws2help.dll 파일을 악성코드에 생성된 ws3help.dll 파일로 교체한 후 ws2help.dll 파일을 호출하는 모든 프로세스에 인젝션되어 동작하도록 되어 있다. 그리고 시스템에 설치되어 있는 V3를 직접적으로 공격하는 기능과 함께 다양한 온라인 게임들의 사용자 정보를 탈취하는 기능을 수행하게 된다.
이와 함께 해당 악성코드는 30MB가 넘는 파일 크기를 가지고 있으나 코드의 대부분이 0x00로 사용되지 않는 코드들로 채워져 있어, 이는 보안 제품에 의한 탐지를 회피하기 위한 목적인 것으로 추정된다.
악성코드에 의해 변경되는 ws2help.dll 파일은 Windows Socket 2.0 Helper DLL로서 아래 이미지와 같은 네트워크 사용자 모드에서 ws2_32.dll 파일을 보조해 주며, 레지스트리 설정을 통해 사용을 하지 않을 수도 있다.
해당 악성코드는 드로퍼(Dropper) 형태이며 파일 자체는 Null Soft Install 프로그램으로 압축되어 있으며, 아래 이미지와 같이 해당 드로퍼에 의해 두 번재 드로퍼를 설치하게 된다.
먼저 Null Soft Install 툴로 압축된 드로퍼에 의해 생성된 두 번째 드로퍼를 살펴보게 되면, 아래 이미지와 같이 리소스(Resource)에 GAME이라는 영역에 존재하는 데이터가 ws2help.dll 파일과 변경하게 될 다른 악성코드이다.
아래 이미지와 같이 이러한 리소스 영역의 데이터를 읽어 들어 파일로 생성하는 기법은 일반적인 드로퍼 형태의 악성코드에서 많이 사용하는 기법 중 하나이다.
그리고 아래 이미지와 같이 윈도우 시스템의 특정 레지스트리(Registry)에 TabProcGrowth 키를 생성한다.
이와 함께 윈도우 시스템에 의해 보호되는 ws2help.dll 파일을 악성코드와 변경하게 위해 WFP(Windows File Protection)을 무력화 시키게 된다. WFP의 무력화를 위해 아래 이미지와 같이 Sfc_os.dll 파일을 로드 후 Function #5를 호출하여 1분간 WFP를 무력화 시키게 된다.
WFP가 무력화가 되면 이후 두 번째 드로퍼에 의해 생성된 악성코드를 ws2help.dll 파일명으로 Dllcache와 SYSTEM32 디렉토리로 복사하게 된다.
두 번째 드로퍼에 의해 생성되어 정상 ws2help.dll 파일과 변경되는 악성코드는 엔트리 포인트(Entry Point)로 진입하게 되면 아래 이미지와 같이 인터럽터 3(Int 3) 안티 디버깅(Anti-Debugging)이 존재 한다.
해당 안티 디버깅 코드 이후 언패킹 루틴(Unpacking Routine)을 통과 하게 되면 아래 이미지와 같은 OEP가 나타나게 된다.
그리고 해당 악성코드는 감염된 시스템에서 실행 중인 프로세스 목록을 얻어 온 후 tskill.exe을 이용하여 V3와 관련된 프로세스 및 온라인 게임 관련 프로세스를 강제 종료하는 기능을 수행한다.
악성코드에 의해 강제 종료 되는 프로세스들은 다음과 같다.
Dnf.exe, MapleStory.exe, FF2Client.exe, lin.bin, lineage.exe, V3LSvc.exe, X2.exe, heroes.exe, Dragona.exe,
IEXPLORE.exe, PMCliente.exe, DnF.exe
그리고 악성코드에 의해 변경된 ws2help.dll 파일은 V3 관련 다음 프로세스 2개를 강제 종료하게 된다.
V3LSve.exe, V3Light.exe
악성코드에 의해 변경된 ws2help.dll 파일이 인젝션(Injection)되어 있는 프로세스가 위에서 언급된 두 개의 V3 관련 프로세스일 경우에는 강제 종료를 시도하게 된다.
위 이미지에서와 같이 GetModuleHandle() API를 이용하여 V3 관련 프로세스들의 이미지 베이스(Image Base) 주소를 얻어 올 수 있게 된다면, 해당 프로세스를 강제 종료하게 된다.
이와 함께 실행 중인 프로세스들을 확인하여 온라인 게임 관련 프로세스들일 경우에는용자의 계정과 암호 탈취 기능을 수행하는 스레드(Thread)를 생성하게 된다.
이 번에 발견된 해당 악성코드는 기존의 다른 온라인 게임의 사용자 정보를 탈취하는 악성코드와 다르게 내부적인 오류로 인해 블루 스크린을 유발하게 된다.
시스템 재부팅 시에 악성코드로 변경된 ws2help.dll 파일은 시스템 프로세스들에 인젝션하게 된다. 이때 안티 디버깅으로 익셉션(Exception)을 유발 시키게 되는데, 익셉션처리 과정에서 EIP 레지스터가 1 바이트씩밀려서 전혀 다른 명령를 수행하게 됨으로 메모리 참조 과정에서 블루 스크린이 발생하게 된다.
최근 들어 지속적으로 증가하고 있는 윈도우 시스템 파일들을 변경하는 악성코드들 대부분이 인터넷 익스플로러(Internet Explorer)나 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점들로 인해 감염된다.
그러므로 해당 소프트웨어에 존재하는 보안 패치들을 설치하여야만이 악성코드 감염을 원천적으로 예방 할 수 있다.
Adobe,
Anti-Debugging,
ASEC,
BlueScreen,
BSOD,
Dllcache,
Dropper,
EIP,
Entry Point,
Flash Player,
Function,
game,
GetModuleHandle,
Image Base,
Injection,
Int 3,
Internet Explorer,
OEP,
PATCH,
Resource,
Sfc_os.dll,
TabProcGrowth,
Thread,
tskill.exe,
Unpacking,
V3,
WFP,
Windows,
ws2help.dll,
ws2_32.dll,
ws3help.dll,
XOR,
게임,
드로퍼,
레지스터,
레지스트리,
리소스,
무력화,
변경,
분석,
블루스크린,
사용자,
스레드,
시스템,
악성코드,
안티디버깅,
어도비,
언패킹,
엔트리포인트,
오류,
온라인,
윈도우,
이미지베이스,
익스플로러,
인젝션,
인터넷,
인터럽트,
정보,
정상,
탈취,
파일,
패치,
프로세스,
플래쉬,
플레이어
Trackback Address :: http://blog.ahnlab.com/asec/trackback/565
-
best laptops on the market uk
Tracked from best laptops on the market uk | 2013/05/02 13:48 | DELASEC Threat Research -
-
mulberry bags
Tracked from mulberry bags | 2013/05/09 11:41 | DELASEC Threat Research -
-
hermes bags
Tracked from hermes bags | 2013/05/09 11:42 | DELASEC Threat Research -
-
cheap jordans
Tracked from cheap jordans | 2013/05/09 11:42 | DELASEC Threat Research -
-
celine bags
Tracked from celine bags | 2013/05/09 19:49 | DELASEC Threat Research -
-
mulberry outlet
Tracked from mulberry outlet | 2013/05/11 09:30 | DELASEC Threat Research -
-
mulberry sale
Tracked from mulberry sale | 2013/05/11 13:23 | DELASEC Threat Research -
-
cheap ray ban sunglasses
Tracked from cheap ray ban sunglasses | 2013/05/11 13:23 | DELASEC Threat Research -
-
celine bags
Tracked from celine bags | 2013/05/11 17:20 | DELASEC Threat Research -
-
prada handbags
Tracked from prada handbags | 2013/05/12 03:07 | DELASEC Threat Research -
-
longchamp bags
Tracked from longchamp bags | 2013/05/12 03:07 | DELASEC Threat Research -
-
louis vuitton bags
Tracked from louis vuitton bags | 2013/05/12 03:07 | DELASEC Threat Research -
다수의 SNS를 전파 경로로 악용하는 메신저 악성코드 :: 2011/07/07 18:23
인터넷(Internet)의 발달과 함께 인스턴트 메신저(Instant Messenger) 프로그램의 개발은 인터넷을 통해 언제든지 사람들과 실시간 소통이 가능하도록 되었다. 이러한 인스턴트 메신저 프로그램 역시 악성코드가 유포되는 경로 중 하나로 오랜전부터 악용되어 왔었다.
인스턴트 메신저 프로그램들을 통해 악성코드가 유포되었던 사례들로는 2010년 5월 해외에서 많이 사용하는 야후(Yahoo) 메신저 악성코드 전파 사례와 2010년 7월 국내에서 많이 사용하는 네이트(Nate) 메신저 악성코드 전파 사례가 존재한다.
이와 함께 최근 소셜 네트워크 서비스(Social Network Service)의 활용 빈도가 증가한 이 후로는 2010년 11월 페이스북(Facebook)의 채팅 메시지로 악성코드 유포 사례도 존재한다.
최근 6월 말에 발견된 인스턴트 메신저 프로그램을 통해 유포되는 악성코드 중 현재 많은 사람들이 사용하고 있는 소셜 네트워크 서비스 대부분을 악성코드 유포를 위한 또 다른 경로로 복합적으로 악용하는 것을 발견하였다.
이 번에 발견된 악성코드가 시스템에서 실행이 되면 아래 이미지와 같이 윈도우(Windows) 시스템에 존재하는 정상 프로세스 중 하나인 Explorer.exe의 특정 메모리 영역에 자신의 코드 전체를 덮어쓰게 된다.
그리고 악성코드 제작자가 지정한 명령을 수행하기 위해 외부 네트워크에 위치한 특정하는 시스템으로 접속을 시도하게 된다.
테스트 당시 해당 악성코드는 악성코드 제작자의 명령에 따라 아래 이미지와 같이 특정 시스템에 존재하는 텍스트(Text) 파일을 다운로드 하도록 되어 있었다.
해당 텍스트 파일은 감염된 시스템에서 보안 제품의 업데이트 또는 보안 업체 웹 사이트로의 접속을 방해하기 위해 다수의 보안 업체 리스트들을 포함하고 있다.
접속을 방해하기 위한 리스트가 작성되어 있는 텍스트 파일에는 아래 이미지와 같이 안철수연구소의 도메인도 포함 되어 있으며, 이외에 또 다른 국내 보안 업체인 하우리(Hauri)의 도메인도 포함되어 있다.
그리고 다시 파일 공유로 유명한 래피드쉐어(RapidShare)에 악성코드 제작자가 미리 업로드 해두었던 다른 악성코드를 다운로드 및 실행 하도록 한다.
해당 악성코드의 주된 유포 경로들은 아래 이미지에서와 같이 많은 사람들이 사용하는 이동형 저장 장치(USB)와 마이크로소프트(Microsoft)에서 개발한 MSN 메신저 프로그램을 악용하고 있다.
그리고 USB와 MSN 메신저 프로그램외에도 감염된 시스템에서 트위터(Twitter)와 페이스북의 로그인 세션이 이루어져 있다면, 해당 세션을 이용하여 사용자 모르게 트위터와 페이스북으로 로그인을 시도한다.
로그인이 성공하게 되면 각각의 SNS에 등록되어 있는 지인들에게 위 이미지와 같이 악성코드를 다운로드 할 수 있는 링크가 포함된 다이렉트 메시지(Direct Message), 페이스북의 담벼락 메시지 그리고 페이스북 채팅 메시지로 전달을 시도한다.
이 외에도 해당 악성코드는 트위터와 페이스북과 함께 다른 소셜 네트워크 서비스들인 러시아에서 많이 이용되는 Vkontakte, Bebo와 Friendster 로도 악성코드 유포를 시도 한다.
추가적으로 해당 악성코드는 악성코드 제작자의 명령에 따라 다음의 악의적인 기능들도 추가적으로 수행 가능하다.
특정 웹 사이트, 도메인 접속 차단
Syn Flooding과 UDP Flooding를 통한 분산 서비스 거부(DDoS) 공격
파일 다운로드 및 실행
실행 중인 프로세스 강제 종료
지정된 특정 웹 사이트 및 FTP 로그인 사용자 계정과 암호 탈취
이 번에 발견된 다수의 소셜 네트워크 서비스와 MSN 메신저로 유포를 시도하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win32/Snhook.worm.97280
해당 악성코드는 소셜 네트워크 서비스를 사용하는 사용자들이 증가함에 따라 악성코드 제작자 역시 기존 인스턴트 메신저를 하나의 악성코드 유포 경로로 악용하였던 것들에서 그 범위를 확장하여, 오픈 API를 제공하는 다양한 소셜 네트워크 서비스들을 또 다른 악성코드 유포의 경로로 악용한 사례로 볼 수 있다.
그러므로 소셜 네트워크 서비스를 통해 전달되는 다양한 메시지들 중에는 악성코드 감염을 위해 생성된 메시지도 포함될 수 있다는 것은 인식하고, 의심스러운 메시지에 포함된 링크를 클릭하지 않도록 주의가 필요하다.
AhnLab,
Bebo,
DDoS,
Direct,
DM,
Flooding,
Friendster,
FTP,
Hauri,
Internet,
Message,
Messenger,
Microsoft,
MSN,
nate,
Network,
RapidShare,
Service,
Snhook,
SNS,
Social,
Syn,
Text,
UDP,
usb,
V3,
Vkontakte,
Windows,
Worm,
거부,
경로,
계정,
공격,
공유,
국내,
네이트,
네트워크,
다운로드,
다이렉트,
도메인,
래피드쉐어,
로그인,
리스트,
마이크로소프트,
메모리,
메시지,
메신저,
보안,
분산,
사용자,
서비스,
소셜,
소통,
시스템,
실시간,
악성코드,
안랩,
안철수,
암호,
야후,
업데이트,
업체,
연구소,
윈도우,
이동형,
인스턴트,
인터넷,
장치,
저장,
전파,
제작자,
제품,
채팅,
코드,
텍스트,
트위터,
파일,
페이스북,
프로그램,
프로세스,
하우리
Trackback Address :: http://blog.ahnlab.com/asec/trackback/564
MS10-087 취약점 악용 워드 악성코드 발견 :: 2011/07/06 17:10
최근 몇 년간 악성코드 유포에 사용되고 있는 취약점들은 대부분이 웹 브라우저(Web-Browser) 또는 웹 어플리케이션(Web Applications)과 관련된 것들이 많았으며, 특히 최근에는 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 CVE-2011-2110 취약점을 악용한 악성코드 유포가 증가하고 있어 주의가 필요함을 ASEC에서 알린 바가 있었다.
웹 어플리케이션과 관련한 취약점외에도 전자 문서에서도 역시 어도비에서 개발한 아크로뱃 리더(Acrobat Reader) 파일 포맷인 PDF에 존재하는 취약점을 악용해 악성코드 유포를 시도한 사례가 다수 존재하고 있으며, 그 다음으로 마이크로소프트(Microsoft)에서 개발한 워드(Word)에 존재하는 취약점을 악용한 사례도 다수 발견되고 있다.
특히 최근에 발견되는 워드 취약점을 악용한 악성코드의 경우에는 2010년 11월 배포한 "MS10-087 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용하는 사례가 대부분을 차지하고 있으며, 2011년 3월 일본에서 발생한 대지진 재난을 악용한 악성코드 유포, 2011년 5월 오사마 빈 라덴(Osama Bin Laden)이 사망을 악용한 악성코드 유포 사례들에서도 해당 취약점이 악용 되었다.
최근 다시 아래 이미지와 같은 파일명들로 MS10-087 취약점을 악용한 악성코드들이 발견되고 있으며, 이러한 취약한 워드 파일 형태의 악성코드는 메일의 첨부 파일로 유포되는 사례가 다수를 차지하고 있음으로 메일에 첨부된 워드 파일에 대해서는 각별한 주의가 필요하다.
발견된 취약한 워드 파일들은 모두 아래 이미지와 같이 사용하는 쉘코드(Shellcode)만 조금씩 다르게 조작되어 있다.
앞서 언급한 바와 같이 PDF와 워드에 존재하는 취약점을 악용한 공격의 경우 2011년 4월 알려진 RSA 침해사고에서와 같이 메일의 첨부 파일 형태로 타킷 공격(Targeted Attack)에 악용됨으로 사용하는 제품에 맞는 보안 패치를 설치하는 것이 보안 위협에 노출되는 것을 근본적으로 차단할 수 있다.
이 번에 발견된 MS10-087 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Cve-2010-3333
그리고 마이크로소프트에서 제공하는 윈도우(Windows) 운영체제와 오피스(Office) 보안 패치들은 다음 웹 사이트를 통해 설치가 가능하다.
2423930,
Acrobat,
ASEC,
Bin,
CVE-2011-2110,
Dropper,
Laden,
Microsoft,
MS10-087,
Office,
Osama,
PDF,
Player,
RSA,
shellcode,
Targeted Attack,
Web Application,
Web-Browser,
Windows,
word,
대지진,
리더,
마이크로소프트,
메일,
문제점,
빈라덴,
쉘코드,
실행,
아크로뱃,
악성코드,
악용,
어도비,
업데이트,
오사마,
운영체제,
워드,
원격,
웹브라우저,
윈도우,
일본,
첨부파일,
취약점,
침해사고,
코드,
타킷공격,
플래쉬,
플레이어
Trackback Address :: http://blog.ahnlab.com/asec/trackback/561
-
accounting classes nyc
Tracked from accounting classes nyc | 2013/05/05 12:42 | DELASEC Threat Research -
신용 카드 한도 초과 안내 메일로 위장한 악성코드 유포 :: 2011/06/29 15:53
한국 시각으로 29일 새벽 사용하는 신용 카드가 한도를 초과 하였다는 메일로 위장하여 악성코드를 첨부 한 악성 스팸 메일(Spam Mail)이 유포 된 것이 발견되었다. 해당 악성 스팸 메일에 첨부된 악성코드를 실행하게 될 경우에는 특정 시스템으로부터 금전을 목적으로 한 허위 시스템 복구 프로그램을 다운로드 및 실행 하게 된다.
다운로드 된 허위 시스템 복구 프로그램은 이 번에 처음 발견된 형태는 아니며 2010년 12월 해외에서 발견된 사례가 존재한다.
이번에 발견된 악성코드가 첨부된 해당 악성 스팸 메일은 아래 이미지와 같은 "Credit Card Overdue" 제목을 사용하고 있으며 메일 본문에는 사용하는 신용 카드가 한도가 초과하였음을 알리는 내용을 담고 있다.
해당 메일에 첨부되어 있는 Customer details.zip(11,750 바이트)의 압축을 풀게 되면 아래 이미지와 같이 전자 문서 프로그램인 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일 형식인 PDF와 동일한 아이콘을 가진 Customer Details.exe(26,624 바이트)가 생성이 된다.
해당 파일이 실행 되면 윈도우(Windows) 시스템에 존재하는 정상 파일인 svchost.exe를 강제로 실행 시킨 후 아래 이미지와 같이 svchost.exe의 메모리 영역에 자신의 코드 전체를 강제로 덮어쓰게 된다.
그리고 정상 프로세스인 svchost.exe의 프로세스를 이용하여 특정 시스템으로 접속을 시도하여 성공적으로 접속이 될 경우 허위 시스템 복구 프로그램으로 위장한 악성코드를 다운로드 및 실행하게 된다.
허위 시스템 복구 프로그램이 실행이 되면 아래 이미지와 같이 현재 사용하는 시스템의 하드 디스크에 장애가 있음을 알린다.
그리고 시스템에 존재하는 대부분의 파일과 폴더들을 숨김 속성으로 변경하여 일반 시스템 사용자로 하여금 사용하는 시스템에 심각한 문제가 생긴 것으로 위장하게 된다.
위 이미지에서 [확인]을 클릭하게 되면 아래 이미지와 같은 PC 성능과 안정성 검사를 위해 시스템 전체를 검사하기 시작한다.
검사가 끝나게 되면 아래 이미지와 같이 사용하는 시스템에 실제 존재하지 않는 허위의 심각한 장애들을 보여주고 시스템 사용자로 하여금 심각한 장애들이 다수 존재하는 것으로 오인하도록 한다.
허위로 작성된 시스템의 심각한 장애들을 복구하기 위해 "Fix Errors"를 클릭하게 되면 아래 이미지와 같이 다시 시스템 장애들을 복구 작업을 수행하는 것과 같은 허위 이미지들을 보여주게 된다.
허위로 보여지는 복구 작업이 완료하게 되면 아래 이미지와 같이 복구 후에도 심각한 장애가 시스템에 다수 존재한다는 것으로 보여주며, 이를 복구하기 위해서는 구매를 할 것을 알리고 있다.
구매를 위해 "Purchase"를 클릭하게 되면 아래 이미지와 같이 기존에 익히 알려진 허위 백신들과 동일하게 신용카드 정보를 입력하여 결제를 할 것을 유도하고 있다.
이 번에 발견된 신용 카드 한도 초과 안내 메일로 위장한 악성코드는 허위 시스템 복구 프로그램을 설치하여, 시스템 사용자의 신용카드 정보와 금전 결제를 통한 금전 회득이 최종적인 목적인 것을 알 수가 있다.
이러한 시스템 복구나 시스템 유틸리티 형태로 위장한 악성코드들의 등장한 기존에 발견된 허위 백신들에 대해 일반 시스템 사용자들에게 이미 널리 알려져 있음으로, 새로운 장애 복구 유틸리티로 위장하여 금융 정보나 금전 회득을 위해 감염을 시도한 것으로 볼 수 있다.
신용 카드 한도 초과 안내 메일로 유포된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Agent.26624.TG
Win-Trojan/Jorik.509952
Win-Trojan/Jorik.407552
Win-Trojan/Jorik.266240
이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/559
-
esl business english textbooks
Tracked from esl business english textbooks | 2013/04/29 13:34 | DELASEC Threat Research -
CVE-2011-1255 취약점 악용 악성코드 유포 :: 2011/06/27 16:28
마이크로소프트(Microsoft)에서는 매월 두째 주 화요일 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점을 제거하기 위한 보안 패치를 배포하고 있다. 이번 6월에도 역시 총 16개의 보안 패치를 배포하였다.
이번 마이크로소프트에서 배포한 보안 패치 중 "MS11-050 Internet Explorer 누적 보안 업데이트(2530548)"에 포함되어 있는 CVE-2011-1255 취약점을 악용하는 악성코드가 발견되었다.
이 번에 발견된 해당 취약점을 악용하는 악성코드는 아래 이미지와 같은 스크립트(Script) 악성코드 형태이며 최종적으로는 특정 시스템에 존재하는 다른 악성코드를 다운로드 및 실행 하도록 되어 있다.
해당 스크립트 악성코드는 아래 이미지와 같은 쉘코드(Shellcode)를 메모리(Memory)에서 동작하도록 하였으며 미국에 위치한 특정 시스템에서 인코딩(Encoding) 되어 있는 파일을 다운로드 하도록 되어 있다.
아래 이미지와 같이 다운로드 된 인코딩 된 파일이 정상적으로 디코딩(Decoding)되면, 윈도우(Windows) 시스템에서 정상적으로 실행 가능한 PE 파일 형태로 변환된다.
디코딩 된 해당 파일은 WinExec 명령을 통해 임시(Temp) 폴더에 svchost.exe 파일명으로 변경하여 복사 한 후 실행 하도록 되어 있다.
그리고 svchost.exe(44,544 바이트)이 정상적으로 실행이 되면 프로그램 폴더(C:\Program Files\Common Files) 아래에 자신의 복사본을 다시 msdtc.exe(44,544 바이트)로 생성하게 된다.
생성된 msdtc.exe(44,544 바이트)가 실행이 되면 다음의 악의적인 기능들을 수행하게 된다.
시스템 하드웨어 정보 수집
키보드 입력 정보 가로채기
파일 업로드 및 다운로드
커맨드(Command) 명령 실행
폴더 및 파일 이름 확인
파일 삭제 및 파일명 변경
최근 어도비 플래쉬 플레이어(Adobe Flash Player) 취약점을 악용하여 온라인 게임의 사용자 정보를 탈취하거나 윈도우 시스템 관련 파일들을 패치(Patch)하는 악성코드들이 지속적으로 발견 중에 있다.
이러한 악성코드들은 윈도우 시스템에 존재하는 취약점 또는 일반적으로 많이 사용하는 어플리케이션(Applications)들에 존재하는 보안 취약점들을 악용하여 악성코드를 유포하고자 하는 공통점이 존재한다.
그러므로 이러한 악성코드들의 감염을 예방하기 위해서는 마이크로소프트에서 배포하는 보안 패치와 함께 자주 사용하는 어플리케이션들의 보안 패치들까지 반듯이 설치하여야만 악성코드 감염에 대한 근본적인 대응이 가능하다.
이 번에 발견된 CVE-2011-1255 취약점 악용해 유포되었던 악성코드들은 V3에서 다음과 같이 진단 가능하다.
HTML/Cve-2011-1255
Exploit/Cve-2011-1255
Win-Trojan/Misdat.44544
2530548,
Adobe,
Applications,
Command,
CVE-2011-1255,
Decoding,
HTML,
Internet,
Memory,
Microsoft,
Misdat,
MS11-050,
msdtc.exe,
Player,
Script,
svchost.exe,
Trojan,
Windows,
WinExec,
가로채기,
누적,
다운로드,
디코딩,
마이크로소프트,
메모리,
명령,
미국,
변경,
보안,
삭제,
소프트웨어,
수집,
쉘코드,
스크립트,
시스템,
악성코드,
악용,
어도비,
어플리케이션,
업데이트,
윈도우,
유포,
이름,
인코딩,
입력,
정보,
취약점,
커맨드,
키보드,
파일,
파일명,
패치,
폴더,
플래쉬,
플레이어,
하드웨어
Trackback Address :: http://blog.ahnlab.com/asec/trackback/557
-
mulberry bags
Tracked from mulberry bags | 2013/05/06 00:09 | DELASEC Threat Research -
-
hermes bags
Tracked from hermes bags | 2013/05/06 03:37 | DELASEC Threat Research -
-
seo software
Tracked from seo software | 2013/05/06 07:25 | DELASEC Threat Research -
-
diablo 3 gold
Tracked from diablo 3 gold | 2013/05/06 17:23 | DELASEC Threat Research -
-
nike lebron 10
Tracked from nike lebron 10 | 2013/05/07 00:24 | DELASEC Threat Research -
-
chanel bags
Tracked from chanel bags | 2013/05/07 08:38 | DELASEC Threat Research -
-
prada bags
Tracked from prada bags | 2013/05/07 21:08 | DELASEC Threat Research -
-
mulberry bags
Tracked from mulberry bags | 2013/05/08 00:56 | DELASEC Threat Research -
-
louis vuitton bags
Tracked from louis vuitton bags | 2013/05/08 00:56 | DELASEC Threat Research -
-
celine bags
Tracked from celine bags | 2013/05/08 10:32 | DELASEC Threat Research -
-
burberry bags
Tracked from burberry bags | 2013/05/08 13:19 | DELASEC Threat Research -
-
miu miu bags
Tracked from miu miu bags | 2013/05/09 06:41 | DELASEC Threat Research -
-
cheap jordans
Tracked from cheap jordans | 2013/05/09 10:48 | DELASEC Threat Research -
-
coach outlet
Tracked from coach outlet | 2013/05/09 13:47 | DELASEC Threat Research -
-
michael kors bags
Tracked from michael kors bags | 2013/05/11 02:53 | DELASEC Threat Research -
-
mulberry sale
Tracked from mulberry sale | 2013/05/11 02:53 | DELASEC Threat Research -
-
cheap soccer cleats
Tracked from cheap soccer cleats | 2013/05/11 02:54 | DELASEC Threat Research -
-
mulberry outlet
Tracked from mulberry outlet | 2013/05/11 08:14 | DELASEC Threat Research -
-
cheap oakley sunglasses
Tracked from cheap oakley sunglasses | 2013/05/11 12:21 | DELASEC Threat Research -
-
mulberry bags
Tracked from mulberry bags | 2013/05/11 12:21 | DELASEC Threat Research -
-
lacoste outlet
Tracked from lacoste outlet | 2013/05/11 20:53 | DELASEC Threat Research -
-
jeremy scott adidas
Tracked from jeremy scott adidas | 2013/05/11 20:53 | DELASEC Threat Research -
-
longchamp bags
Tracked from longchamp bags | 2013/05/11 20:53 | DELASEC Threat Research -
-
nike france
Tracked from nike france | 2013/05/11 20:53 | DELASEC Threat Research -
-
louis vuitton bags
Tracked from louis vuitton bags | 2013/05/12 01:42 | DELASEC Threat Research -
-
celine bags
Tracked from celine bags | 2013/05/12 07:02 | DELASEC Threat Research -
-
michael kors outlet
Tracked from michael kors outlet | 2013/05/12 07:02 | DELASEC Threat Research -
-
speedupmypc
Tracked from speedupmypc | 2013/05/12 08:03 | DELuniblue speedupmypc 2013 license key working new
-
cheap louis vuitton bags
Tracked from cheap louis vuitton bags | 2013/05/12 11:34 | DELASEC Threat Research -
-
cheap ray ban sunglasses
Tracked from cheap ray ban sunglasses | 2013/05/12 11:34 | DELASEC Threat Research -
-
coach bags
Tracked from coach bags | 2013/05/12 19:32 | DELASEC Threat Research -
-
cheap prom dresses
Tracked from cheap prom dresses | 2013/05/12 19:32 | DELASEC Threat Research -
-
louis vuitton replica
Tracked from louis vuitton replica | 2013/05/12 19:32 | DELASEC Threat Research -
어도비 플래쉬 플레이어 CVE-2011-2110 취약점 분석 :: 2011/06/22 17:30
ASEC에서는 6월 15일 어도비 플래쉬 플레이어(Adobe Flash Player)에서 보안 패치 배포 소식을 전한 바가 있다. 해당 보안 패치에는 제로 데이(Zero Day, 0-Day) 취약점이었던 CVE-2011-2110 취약점을 제거 할 수 있는 보안 패치가 같이 포함이 되어 있으며, 현재에도 해당 취약점을 악용한 플래쉬 파일(SWF) 변형들이 유포 중에 있다.
ASEC에서는 해당 어도비 플래쉬 플레이어 취약점을 악용한 악성코드 유포에 대해 상세한 분석을 진행하였으며, 해당 취약점의 전체적인 악용 구조는 다음 이미지와 같은 형태로 진행 되었다.
위 이미지와 같은 구조로 취약한 플래쉬 파일을 유포하여 최종적으로 온라인 게임의 사용자 정보를 탈취하는 악성코드의 감염을 시도하였다.
먼저 취약한 웹 사이트에 아래 이미지와 같은 스크립트 파일을 삽입하였으며, 해당 스크립트 파일에는"main.swf?info="를 통해 취약한 플래쉬 파일을 호출하도록 설정되어 있다.
호출된 플래쉬 파일을 통해 Zlib 압축을 해제한 후 XOR 디코딩을 수행하여 특정 웹 사이트에서 파일을 다운로드 하도록 설정되어 있다.
다운로드 된 파일을 아래 이미지와 같이 XOR 디코딩을 수행한 후 Zlib 압축을 해제하게 될 경우 일반적으로 윈도우(Windows) 운영체제에서 실행 가능한 PE 파일이 생성된다.
최종적으로 메모리상에서는 아래 이미지와 같은 쉘코드(Shellcode)와 함께 다운로드된 PE이 같이 동작하도록 구성되어 있다.
메모리 상에서 쉘코드와 함께 동작하게 되면 윈도우 임시 폴더(Temp)에 scvhost.exe 파일을 생성하게 되며 생성한 파일을 cmd.exe 명령을 이용하여 실행하게 된다.
생성된 해당 파일이 실행되면 온라인 게임의 사용자 정보를 탈취하는 악성코드와 함께 외부에서 윈도우 시스템 관련 파일들인 imm32.dll와 win32.dll을 악성코드로 변경하는 기능 등을 수행하게 된다.
최근 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하여 악성코드를 유포하는 사례가 지속적으로 발생하고 있음으로 어도비사의 보안 권고에 따라 어도비 아크로뱃 리더(Adobe Acrobat Reader)와 플래쉬 플레이어를 해당 취약점이 제거된 최신 버전으로 업데이트 하는 것이 중요하다.
이 번 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하여 유포를 시도한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
SWF/Exploit
JS/Swflash
SWF/Cve-2011-2110
Win-Trojan/Onlinegamehack.36352.CN
Win-Trojan/Patched.DE
Win-Trojan/Onlinegamehack.102400.DM
Acrobat,
Adobe,
ASEC,
cmd.exe,
CVE-2011-2110,
Day,
exploit,
flash,
Imm32.dll,
OnlineGameHack,
Patched,
PE,
Player,
reader,
scvhost.exe,
SWF,
Swflash,
Temp,
Trojan,
win32.dll,
Windows,
XOR,
Zero,
Zlib,
게임,
다운로드,
디코딩,
리더,
메모리,
보안,
분석,
사용자,
쉘코드,
스크립트,
아크로뱃,
악성코드,
악용,
압축,
어도비,
온라인,
운영체제,
웹사이트,
윈도우,
유포,
임시,
정보,
제로데이,
취약점,
파일,
패치,
폴더,
플래쉬,
플레이어,
해제
Trackback Address :: http://blog.ahnlab.com/asec/trackback/554
-
Adobe Reader,Acrobat,Adobe Flash Player 10.3.181.26 업데이트
인터넷을 하다 보면 만나는 PDF 그리고 Adobe Flash Player, Adobe AIR 제품이 보안업데이트가 이루어지고 있습니다. 일단 Adobe Reader&Acrobat 경우 해당 Authplay.dll구성 요소 취약점과 관련된 보안 갱신이므?
어도비 플래쉬, 아크로뱃과 리더 보안 패치 배포 :: 2011/06/15 18:10
한국 시각으로 6월 15일 어도비(Adobe)에서는 해당 업체에서 개발한 플래쉬 플레이어(Flash Player)와 아크로뱃(Acrobat) 그리고 리더(Reader)에 존재하는 보안 취약점을 제거하는 보안 패치를 배포 하였다.
이 번 어도비에서 배포한 어도비 리더와 아크로뱃 보안 패치의 설치 대상 버전은 다음과 같다.
윈도우(Windows)를 위한 Adobe Reader X (10.0.1)와 10.x 이전 버전들
맥킨토시(Macintosh)를 위한 Adobe Reader X (10.0.3)와 10.x 이전 버전들
윈도우(Windows)와 맥킨토시(Macintosh)를 위한 Adobe Reader 9.4.4와 9.x 이전 버전들
윈도우(Windows)와 맥킨토시(Macintosh)를 위한 Adobe Reader 8.2.6와 8.x 이전 버전들
윈도우(Windows)와 맥킨토시(Macintosh)를 위한 Adobe Acrobat X (10.0.3)와 10.x 이전 버전들
윈도우(Windows)와 맥킨토시(Macintosh)를 위한 Adobe Acrobat 9.4.4와 9.x 이전 버전들
윈도우(Windows)와 맥킨토시(Macintosh)를 위한 Adobe Acrobat 8.2.6와 8.x 이전 버전들
어도비 리더와 아크로뱃 보안 패치의 설치는 아래 이미지에서와 같이 사용하는 어도비 리더 또는 아크로뱃을 실행 한 후 [도움말] -> [업데이트 확인]을 클릭하여 진행 가능하다.
어도비 리더와 아크로뱃 보안 패치를 자동으로 설치하기 위해서는 사용하는 어도비 리더 또는 아크로뱃을 실행 한 후 [편집] -> [기본 설정] -> [업데이터]를 클릭한다.
그리고 아래 이미지와 같이 [업데이트 자동 설치]로 클릭을 한 후 [확인]을 클릭하게 되면 이 후 배포되는 보안 패치들에 대해서는 자동적으로 설치가 가능하다.
이 번 어도비에서 배포한 어도비 플래쉬 플레이어 보안 패치의 설치 대상 버전은 다음과 같다.
윈도우(Windows), 맥킨토시(Macintosh), 리눅스(Linux)와 솔라리스(Solaris)에 설치된 Adobe Flash Player 10.3.181.23와 그 이전 버전들
안드로이드(Android)에 설치된 Adobe Flash Player 10.3.185.23와 그 이전 버전들
어도비 플래쉬 플레이어를 위한 보안 패치를 설치하기 위해서는 아래 어도비 웹 사이트를 통해 업데이트 가능하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/551
-
업데이트 : Adobe Reader & Adobe Acrobat 10.1.0 / 9.4.5 / 8.3.0
Tracked from 울지않는벌새 : Security, Movie & Society | 2011/06/15 18:36 | DELAdobe사에서 제공하는 PDF 관련 프로그램 Adobe Reader & Adobe Acrobat 제품군에서 발견된 다중 보안 취약점의 문제를 해결한 Adobe Reader & Adobe Acrobat 10.1.0 / 9.4.5 / 8.3.0 버전이 업데이트 되었습니다. <Adobe Se
-
업데이트 : Adobe Flash Player 10.3.181.26
Tracked from 울지않는벌새 : Security, Movie & Society | 2011/06/15 18:36 | DELAdobe사에서 제공하는 Adobe Flash Player 최신 버전에서 새로운 취약점이 발견되어 해당 문제를 해결한 Adobe Flash Player 10.3.181.26 버전이 공개되었습니다. <Adobe Security Bulletin> Security update available for Adobe
-
[Adobe]Security update available for Adobe Flash Player(CVE-2011-2110)
지난 주말에 알려지지 않은 Adobe Flash Player 취약점으로 인하여 악성파일이 유포 된 사례가 있었다. 공식적으로 알려지지 않은 0-Day 여서 감염자가 상당히 많은것으로 확인되었다. 다행스럽게 Adob
-
Adobe Reader,Acrobat,Adobe Flash Player 10.3.181.26 업데이트
인터넷을 하다 보면 만나는 PDF 그리고 Adobe Flash Player, Adobe AIR 제품이 보안업데이트가 이루어지고 있습니다. 일단 Adobe Reader&Acrobat 경우 해당 Authplay.dll구성 요소 취약점과 관련된 보안 갱신이므?
SNS로 전파되는 맥 OS X 대상의 허위 백신 :: 2011/06/02 18:09
5월 15일 해외에서 발견되었던 애플(Apple)에서 개발한 맥(Mac) OS X를 대상으로 감염되는 허위 백신인 맥디펜더(MacDefender)가 유명 소셜 네트워크(Social Network)를 전파 수단으로 이용하여 다시 전파되는 것이 발견 되었다.
최초 5월 15일에는 아래 이미지와 같이 트위터(Twitter)를 이용하여 맥 운영체제 사용자들이 관심을 가질 만한 게임을 소개하는 내용으로 위장하여 메시지 본문에 단축 URL(URL Shortening)을 사용하여 악의적인 웹 사이트로 접속을 유도하였다.
사파리(Safari) 웹 브라우저를 사용하는 맥 운영체제 사용자가 해당 단축 URL을 클릭하게 될 경우 다음 이미지와 같은 특정 웹 사이트로 연결된다.
해당 웹 페이지에서는 기존 윈도우(Windows) 운영체제를 감염 대상으로 하였던 허위 백신에서 사용하는 방식과 동일하게 시스템 전체를 검사하는 모습을 보여주고 허위 진단 결과를 보여주게 된다.
그리고 맥 운영체제에서 실행되는 특정 파일을 다운로드 하도록 유도하여 허위 백신의 감염을 시도하고 있다.
이 번에 발견된 맥 운영체제를 감염 대상으로 하는 허위 백신은 페이스북(Facebook)에서 성인 비디오 내용으로 유포되기 시작한 것을 영국 보안 업체 소포스(Sophos)에서 블로그 "Rihanna and Hayden Panettiere sex video spreads Mac malware on Facebook"를 통해 공개하였다.
맥 운영체제를 개발하는 애플에서는 맥 운영체제 사용자를 대상으로하는 유포되었던 허위 백신의 진단 및 탐지를 위해 보안 업데이트 "About Security Update 2011-003"를 배포 중에 있다.
그러므로 맥 운영체제를 사용하는 사용자는 해당 보안 업데이트를 설치하고 트위터와 페이스북과 같은 소셜 네트워크를 통해 전달 되는 메시지에 포함된 단축 URL 클릭을 주의 해야 된다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/545